Stel je voor: je IT-partner meldt elke maand een lijst met kwetsbaarheden in je systemen. Bovenaan staan de ‘kritieke’ problemen. Maar hoe bepaalt de software eigenlijk wat kritiek is en wat kan wachten? Dat doet de zogenaamde exposure score, een getal dat aangeeft hoe blootgesteld jouw IT-omgeving is aan risico. Microsoft heeft die score recent grondig vernieuwd en biedt dit nu aan als public preview, een testfase voordat de functie breed uitgerold wordt. De update voegt meer context toe aan hoe risico’s worden gewogen. Dat klinkt technisch, maar het heeft een directe impact op wat jouw IT-partner als urgent aanduidt en dus op wat jij budgettair terugziet.

Wat de exposure score doet en wat er nu veranderde

De exposure score is een getal tussen 0 en 100 dat aangeeft hoe groot het risico is op een beveiligingsincident in jouw IT-omgeving. Volgens Microsoft Learn geldt een score tot 29 als laag, 30 tot 69 als gemiddeld, en 70 of hoger als hoog. Jouw IT-partner gebruikt die score om te beslissen welke problemen als eerste aangepakt worden.

Tot voor kort keek het systeem vooral naar de ernst van een technische zwakte op zich. De vernieuwde score, die Microsoft aankondigde in de Tech Community, voegt daar extra lagen aan toe. Het systeem combineert nu meerdere risicosignalen tegelijk:

• Actieve bedreigingssignalen: is een zwakte al gekend als aanvalsmiddel?
• De kans dat een kwetsbaarheid effectief misbruikt wordt
• Het aantal toestellen dat geraakt is
• De kritikaliteit van de getroffen systemen (bijv. een server vs. een gewone pc)
• Afwijkingen van de gewenste configuratie
• Hoe snel de score stijgt over tijd

Kortom: twee bedrijven met dezelfde technische zwakte kunnen voortaan een verschillende score krijgen, omdat de context verschilt. Dat maakt de prioritering nauwkeuriger, maar het verandert ook wat jouw IT-partner als dringend zal aanmerken. Belangrijk voorbehoud: dit is een public preview. De werking kan nog wijzigen voordat het algemeen beschikbaar is.

Wat dit concreet betekent als je IT uitbesteedt

Als je IT volledig of gedeeltelijk uitbesteedt, vertrouw je erop dat je IT-partner de juiste zaken aanpakt in de juiste volgorde. Die volgorde wordt nu deels bepaald door een vernieuwd systeem dat je partner misschien al actief gebruikt, of binnenkort zal gebruiken.

Dat heeft drie praktische gevolgen.

1. Andere prioriteitsvolgorde: problemen die vroeger als minder urgent werden ingeschaald, kunnen nu hoger scoren omdat ze op kritieke systemen staan of omdat ze actief misbruikt worden. Omgekeerd kunnen sommige bekende kwetsbaarheden zakken in prioriteit.
2. Aangepaste patchplanning: als de rangschikking verschuift, verschuift ook de planning. Dat kan betekenen dat je IT-partner sommige werkzaamheden naar voren of naar achteren schuift.
3. Andere rapportage: de score is ook bedoeld om prioriteiten beter uitlegbaar te maken aan leidinggevenden. Je mag dus verwachten dat de maandelijkse rapportage van je IT-partner een andere vorm of inhoud krijgt.

Of deze vernieuwde aanpak effectief beter werkt voor jouw situatie, is pas duidelijk na een pilotperiode met echte data uit jouw omgeving. Vertrouw daar niet blind op zonder dat je partner dat eerst met jou heeft afgestemd.

Concrete vragen en stappen voor deze week

Je hoeft zelf geen technisch expert te zijn om hierop actief te sturen. Stel je IT-partner de volgende vragen:

1. Gebruik je al de vernieuwde exposure score, of is dat gepland?
2. Wat verandert er concreet aan de prioriteitsvolgorde in onze omgeving?
3. Welke systemen bij ons gelden als ‘kritisch’ in de nieuwe logica?
4. Hoe pas je de rapportage aan ons management aan?
5. Zijn er licentie- of configuratievereisten die wij als klant moeten goedkeuren?

Naast die vragen zijn er drie concrete stappen die je zelf kunt zetten:

1. Plan een kort overleg met je IT-partner, specifiek over deze update. Vraag om een overzicht van hoe jullie huidige prioriteiten veranderen.
2. Vraag om pilotdata: laat je partner de nieuwe score vergelijken met de oude voor jouw omgeving, zodat je de impact ziet vóór er beslissingen worden genomen.
3. Check je SLA (Service Level Agreement, de afspraken met je IT-partner): als de score bepaalt wat urgent is, moeten die afspraken up-to-date zijn met de nieuwe definitie van ‘kritisch’.

Bij Clear IT bekijken we dit soort wijzigingen samen met klanten, zodat een technische update nooit ongemerkt je beveiligingsaanpak verschuift.

Neem het heft in handen voordat de update breed uitrolt

De vernieuwde exposure score is geen kleine aanpassing. Ze verandert hoe risico’s gewogen worden en dus hoe jouw IT-budget ingezet wordt. Nu de functie nog in testfase zit, is dit het juiste moment om samen met je IT-partner na te gaan wat dit voor jouw omgeving betekent. Wacht niet tot de update automatisch actief wordt. Vraag nu om uitleg, vergelijkende data en een bijgestelde rapportage. Zo behoud je zicht op wat er werkelijk prioriteit heeft in jouw bedrijf.

Veelgestelde vragen

Wat is een exposure score precies?

Een exposure score is een getal tussen 0 en 100 dat aangeeft hoe kwetsbaar jouw IT-omgeving is voor cyberaanvallen. Hoe hoger het getal, hoe urgenter actie nodig is. Jouw IT-partner gebruikt die score om te beslissen welke problemen eerst worden opgelost.

Moet ik als bedrijfsleider iets doen nu de score vernieuwd is?

Je hoeft zelf niets technisch te doen, maar je moet wel het gesprek aangaan met je IT-partner. Vraag hoe de nieuwe score jouw prioriteitenlijst verandert en of de bestaande afspraken nog kloppen. Dat voorkomt verrassingen op vlak van planning en kosten.

Is de vernieuwde score al actief in mijn omgeving?

De update bevindt zich momenteel in public preview, wat betekent dat het een testfase is en niet automatisch voor iedereen actief is. Vraag je IT-partner of en wanneer dit voor jullie omgeving ingezet wordt.

Wat als mijn IT-partner nog niets over deze update heeft gemeld?

Dat is een goed signaal om proactief te vragen. Stuur je IT-partner een berichtje met de vraag of ze de vernieuwde exposure score al evalueren voor jouw omgeving. Een goede IT-partner informeert je tijdig, maar een vraag stellen kost niets en geeft je meteen duidelijkheid.